Investigadores universitarios estadounidenses han desarrollado un nuevo ataque llamado "Troyano inaudible de ultrasonido cercano" (NUIT) que puede lanzar ataques silenciosos contra dispositivos alimentados por asistentes de voz, como teléfonos inteligentes, altavoces inteligentes y otros IoT.

El equipo de investigadores está formado por el profesor Guenevere Chen de la Universidad de Texas en San Antonio (UTSA), su estudiante de doctorado Qi Xia y el profesor Shouhuai Xu de la Universidad de Colorado (UCCS).

El equipo demostró ataques NUIT contra asistentes de voz modernos que se encuentran dentro de millones de dispositivos, incluidos Siri de Apple, Asistente de Google, Cortana de Microsoft y Alexa de Amazon, mostrando la capacidad de enviar comandos maliciosos a esos dispositivos.

Ataques inaudibles

El principio fundamental que hace que NUIT sea efectivo y peligroso es que los micrófonos en dispositivos inteligentes pueden responder a ondas de ultrasonido cercanas que el oído humano no puede, realizando así el ataque con un riesgo mínimo de exposición mientras se sigue utilizando la tecnología de altavoces convencionales.

En una publicación en el sitio de USTA, Chen explicó que NUIT podría incorporarse a sitios web que reproducen medios o videos de YouTube, por lo que engañar a los objetivos para que visiten estos sitios o reproduzcan medios maliciosos en sitios confiables es un caso relativamente simple de ingeniería social.

Los investigadores dicen que los ataques NUIT se pueden llevar a cabo utilizando dos métodos diferentes.

El primer método, NUIT-1, es cuando un dispositivo es tanto el origen como el objetivo del ataque. Por ejemplo, se puede lanzar un ataque en un teléfono inteligente reproduciendo un archivo de audio que hace que el dispositivo realice una acción, como abrir la puerta de un garaje o enviar un mensaje de texto.

El otro método, NUIT-2, es cuando el ataque es lanzado por un dispositivo con un altavoz a otro dispositivo con un micrófono, como un sitio web a un altavoz inteligente.

"Si reproduces YouTube en tu televisor inteligente, ese televisor inteligente tiene un altavoz, ¿verdad? El sonido de los comandos maliciosos de NUIT se volverá inaudible, y también puede atacar su teléfono celular y comunicarse con su Asistente de Google o dispositivos Alexa ", explicó G. Chen.

"Incluso puede suceder en Zooms durante las reuniones. Si alguien se reactiva, puede incrustar la señal de ataque para hackear su teléfono que se coloca junto a su computadora durante la reunión".

Chen explicó que el altavoz desde donde se lanza NUIT debe configurarse por encima de un cierto nivel de volumen para que el ataque funcione, mientras que los comandos maliciosos duran solo 0,77 segundos.



"Incluso puede suceder en Zooms durante las reuniones. Si alguien se reactiva, puede incrustar la señal de ataque para hackear su teléfono que se coloca junto a su computadora durante la reunión".

Chen explicó que el altavoz desde donde se lanza NUIT debe configurarse por encima de un cierto nivel de volumen para que el ataque funcione, mientras que los comandos maliciosos duran solo 0,77 segundos.



Los escenarios de ataque demostrados por los investigadores implican el envío de comandos a IoTs conectados al teléfono inteligente, como desbloquear puertas o deshabilitar alarmas domésticas, con poco riesgo de que la víctima se dé cuenta de que esta actividad está teniendo lugar.

Sin embargo, dado que los asistentes inteligentes también pueden realizar acciones como abrir sitios web, los atacantes podrían llevar a los teléfonos inteligentes a sitios web de "abrevadero" que pueden usarse para colocar malware en el dispositivo explotando una vulnerabilidad en su navegador sin interacción por parte de la víctima.

Eficacia y precauciones

Los investigadores probaron 17 dispositivos populares que ejecutan los asistentes de voz y descubrieron que todos son propietarios usando cualquier voz, incluso generada por robots, excepto Apple Siri, que requiere emular o robar la voz del objetivo para aceptar comandos.

Por lo tanto, si puede autenticarse en su dispositivo inteligente utilizando su huella digital vocal, se recomienda que active este método de seguridad adicional.

Chen también aconsejó que los usuarios monitoreen sus dispositivos de cerca para las activaciones de micrófonos, que tienen indicadores dedicados en pantalla en teléfonos inteligentes iOS y Android.

Finalmente, el uso de auriculares en lugar de altavoces para escuchar algo o transmitir sonido protege eficazmente contra NUIT o ataques similares.

Los detalles completos del ataque NUIT se presentarán en el 32º Simposio de Seguridad USENIX programado para el 9 y 11 de agosto de 2023, en el Anaheim Marriott en Anaheim, CA, EE.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Twitter ha eliminado el código fuente interno de su plataforma y herramientas que se filtraron en GitHub durante meses. Ahora está usando una citación para buscar a aquellos que filtraron y descargaron su código.

El viernes, GitHub cumplió con un aviso de infracción de DMCA emitido por Twitter porque la filtración expuso el código fuente propietario y las herramientas internas, lo que podría representar un riesgo de seguridad para Twitter.

Según el aviso de la DMCA, la filtración provino de alguien que usaba el identificador "FreeSpeechEnthusiast", una clara referencia a Elon Musk llamándose a sí mismo un absolutista de la libertad de expresión y sugiriendo que son un empleado descontento de Twitter.

Según un informe de The New York Times, no está claro cuándo se filtró el código, pero la publicación dice que "parecía haber sido público durante al menos varios meses".

Como solución para la infracción de derechos de autor, Twitter indicó que GitHub debería proporcionar información sobre el historial de acceso a la filtración, probablemente para determinar quién descargó o copió el código.

"Conserve y proporcione copias de cualquier historial de carga / descarga / acceso relacionado (y cualquier información de contacto, direcciones IP u otra información de sesión relacionada con el mismo), y cualquier registro asociado relacionado con este repositorio o cualquier bifurcación del mismo, antes de eliminar todo el contenido infractor de Github", se lee en el aviso de DMCA de Twitter a GitHub.

La cuenta de GitHub del filtrador sigue activa, pero ya no tiene repositorios públicos. Sin embargo, su actividad pasada muestra que la primera contribución del usuario (por ejemplo, comprometerse con un repositorio o abrir un tema / discusión) fue el 3 de enero.

Twitter ahora está intentando usar una citación para obligar a GitHub a proporcionar información de identificación sobre el usuario de FreeSpeechEnthusiasm y cualquier persona que acceda y distribuya el código fuente de Twitter filtrado, que se usaría para acciones legales adicionales.


En una respuesta a BleepingComputer, GitHub dijo que no tenían nada más que agregar, ya que es la política general de la plataforma no comentar sobre las decisiones de eliminar contenido.

Se desconoce cuántas personas accedieron o descargaron el código fuente filtrado de Twitter, pero el filtrador tenía pocos seguidores. Aun así, la filtración podría tener repercusiones para Twitter, ya que el código puede ser examinado para encontrar vulnerabilidades potencialmente explotables.

BleepingComputer se ha puesto en contacto con Twitter con una solicitud de comentarios sobre lo anterior, pero aún no hemos recibido una respuesta significativa.

En febrero de 2023, el propietario y CEO de Twitter, Elon Musk, anunció que la compañía abriría el algoritmo de la plataforma pronto, aunque aún no se ha definido una línea de tiempo.

Sin embargo, el 31 de marzo, se espera que Twitter abra el código utilizado para recomendar tweets, según un mensaje en la plataforma de Musk.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo malware que roba información ha puesto su mirada en el sistema operativo macOS de Apple para desviar información confidencial de dispositivos comprometidos.

Apodado MacStealer, es el último ejemplo de una amenaza que utiliza Telegram como una plataforma de comando y control (C2) para filtrar datos. Afecta principalmente a los dispositivos que ejecutan las versiones de macOS Catalina y posteriores que se ejecutan en CPU M1 y M2.

"MacStealer tiene la capacidad de robar documentos, cookies del navegador de la víctima e información de inicio de sesión", dijeron los investigadores de Uptycs Shilpesh Trivedi y Pratik Jeware en un nuevo informe.

Anunciado por primera vez en foros de piratería en línea a principios de mes, todavía es un trabajo en progreso, con los autores de malware planeando agregar funciones para capturar datos del navegador Safari de Apple y la aplicación Notes.

En su forma actual, MacStealer está diseñado para extraer datos de llaveros de iCloud, contraseñas e información de tarjetas de crédito de navegadores como Google Chrome, Mozilla Firefox y Brave. También cuenta con soporte para recolectar archivos, imágenes, archivos y scripts de Python de Microsoft Office.

El método exacto utilizado para entregar el malware no se conoce, pero se propaga como un archivo DMG (maleza.dmg) que, cuando se ejecuta, abre una solicitud de contraseña falsa para recolectar las contraseñas con el pretexto de buscar acceso a la aplicación Configuración del sistema.

MacStealer es uno de varios ladrones de información que han surgido en los últimos meses y se suma a un gran número de herramientas similares actualmente en la naturaleza.


Esto también incluye otra pieza de nuevo malware basado en C # llamado HookSpoofer que está inspirado en StormKitty y viene con capacidades de registro de teclas y clipper y transmite los datos robados a un bot de Telegram.

Otro malware de robo de cookies del navegador es Ducktail, que también utiliza un bot de Telegram para filtrar datos y resurgió a mediados de febrero de 2023 con tácticas mejoradas para eludir la detección.

Esto implica "cambiar la infección inicial de un archivo que contiene un ejecutable malicioso a un archivo que contiene un archivo LNK malicioso que iniciaría la cadena de infección", dijo el investigador de Deep Instinct Simon Kenin a principios de este mes.

El malware ladrón generalmente se propaga a través de diferentes canales, incluidos archivos adjuntos de correo electrónico, descargas de software falsas y otras técnicas de ingeniería social.

Para mitigar estas amenazas, se recomienda que los usuarios mantengan actualizado su sistema operativo y software de seguridad y eviten descargar archivos o hacer clic en enlaces de fuentes desconocidas.

"A medida que las Mac se han vuelto cada vez más populares en la empresa entre los equipos de liderazgo y desarrollo, más importantes son los datos almacenados en ellas para los atacantes", dijo el investigador de SentinelOne Phil Stokes la semana pasada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha lanzado una actualización fuera de banda para abordar una falla que derrota la privacidad en su herramienta de edición de captura de pantalla para Windows 10 y Windows 11.

El problema, denominado aCropalypse, podría permitir a los actores maliciosos recuperar partes editadas de capturas de pantalla, revelando potencialmente información confidencial que puede haber sido recortada.

Rastreada como CVE-2023-28303, la vulnerabilidad tiene una calificación de 3.3 en el sistema de puntuación CVSS. Afecta tanto a la aplicación Snip & Sketch en Windows 10 como a la herramienta Snipping en Windows 11.

"La gravedad de esta vulnerabilidad es baja porque la explotación exitosa requiere una interacción de usuario poco común y varios factores fuera del control de un atacante", dijo Microsoft en un aviso publicado el 24 de marzo de 2023.

La explotación exitosa requiere que se cumplan los dos requisitos previos siguientes:

• El usuario debe tomar una captura de pantalla, guardarla en un archivo, modificar el archivo (por ejemplo, recortarlo) y, a continuación, guardar el archivo modificado en la misma ubicación.
• El usuario debe abrir una imagen en Herramienta de recorte, modificar el archivo (por ejemplo, recortarlo) y, a continuación, guardar el archivo modificado en la misma ubicación.

Sin embargo, no afecta a los escenarios en los que una imagen se copia de la herramienta Recorte o se modifica antes de guardarla.

"Si toma una captura de pantalla de su extracto bancario, la guarda en su escritorio y recorta su número de cuenta antes de guardarlo en la misma ubicación, la imagen recortada aún podría contener su número de cuenta en un formato oculto que podría ser recuperado por alguien que tenga acceso al archivo de imagen completo", explica Microsoft.


"Sin embargo, si copia la imagen recortada de Snipping Tool y la pega en un correo electrónico o un documento, los datos ocultos no se copiarán y su número de cuenta estará seguro".

La vulnerabilidad se ha solucionado en la aplicación versión 10.2008.3001.0 de Snip y Sketch instalada en Windows 10 y la versión 11.2302.20.0 de Snipping Tool instalada en Windows 11.

aCropalypse salió a la luz por primera vez el 18 de marzo de 2022, cuando se descubrió que un error en la herramienta Markup de Google Pixel permitía revertir retroactivamente los cambios introducidos en las capturas de pantalla, recuperando así información personal de capturas de pantalla e imágenes redactadas, incluidas aquellas que se han recortado o tenían su contenido enmascarado.

Acreditados con el descubrimiento del problema están los ingenieros inversos Simon Aarons y David Buchanan. La falla de alta gravedad relacionada con Pixel, rastreada como CVE-2023-21036, se informó a Google el 2 de enero de 2023 y se solucionó a través de una actualización publicada el 6 de marzo de 2023 para dispositivos Pixel 4A, 5A, 7 y 7 Pro.

La deficiencia ha existido desde el lanzamiento de la utilidad Markup con Android 9 Pie en 2018, y las imágenes ya compartidas en los últimos cinco años son vulnerables al ataque Acropalypse, lo que plantea posibles problemas de privacidad.

"Puedes parcharlo, pero no puedes dejar de compartir fácilmente todas las imágenes vulnerables que puedas haber enviado", dijo Buchanan en un tweet, describiéndolo como "malo".

Un problema similar con el recorte reversible también se reveló recientemente en Google Docs, lo que permite a los usuarios con acceso de solo lectura recuperar versiones originales de imágenes recortadas en documentos compartidos sin tener los permisos de edición para hacerlo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El fabricante líder de cajeros automáticos de Bitcoin, General Bytes, reveló que los piratas informáticos robaron criptomonedas de la compañía y sus clientes utilizando una vulnerabilidad de día cero en su plataforma de gestión BATM.

General Bytes fabrica cajeros automáticos de Bitcoin que permiten a las personas comprar o vender más de 40 criptomonedas. Los clientes pueden implementar sus cajeros automáticos utilizando servidores de administración independientes o el servicio en la nube General Bytes.

Durante el fin de semana, la compañía reveló que los piratas informáticos explotaron una vulnerabilidad de día cero rastreada como BATM-4780 para cargar de forma remota una aplicación Java a través de la interfaz de servicio maestro de ATM y ejecutarla con privilegios de usuario 'batm'.

"El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó servicios CAS en ejecución en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)", explicó General Bytes en una divulgación de incidentes de seguridad.

La compañía recurrió a Twitter para instar a los clientes a "tomar medidas inmediatas" e instalar las últimas actualizaciones para proteger sus servidores y fondos de los atacantes.


Después de cargar la aplicación Java, los actores de amenazas pudieron realizar las siguientes acciones en dispositivos comprometidos:

• Posibilidad de acceder a la base de datos.
• Capacidad para leer y descifrar claves API utilizadas para acceder a fondos en billeteras calientes e intercambios.
• Envía fondos desde billeteras calientes.
• Descargue los nombres de usuario, sus hashes de contraseña y desactive 2FA.
• Capacidad para acceder a los registros de eventos del terminal y escanear cualquier instancia en la que los clientes escanearon claves privadas en el cajero automático. Las versiones anteriores del software ATM registraban esta información.

General Bytes advirtió que sus clientes y su propio servicio en la nube fueron violados durante los ataques.

"El servicio GENERAL BYTES Cloud fue violado, así como los servidores independientes de otros operadores", destaca el comunicado.

Aunque la compañía reveló cuánto dinero robó el atacante, proporcionaron una lista de direcciones de criptomonedas utilizadas por el pirata informático durante el ataque.

Estas direcciones muestran que el hacker comenzó a robar criptomonedas de los servidores de cajeros automáticos de Bitcoin el 17 de marzo, y la dirección de Bitcoin del atacante recibió 56.28570959 BTC, por un valor aproximado de $ 1,589,000, y 21.79436191 Ethereum, por un valor aproximado de $ 39,000.

Si bien la billetera Bitcoin todavía contiene la criptomoneda robada, los actores de amenazas parecen haber utilizado Uniswap para convertir el Ethereum robado en USDT.

Actualizar servidores ahora

Se insta a los administradores de CAS (Crypto Application Server) a examinar sus archivos de registro "maestros.log" y "admin.log" para detectar cualquier brecha de tiempo sospechosa causada por el atacante que elimina las entradas de registro para ocultar sus acciones en el dispositivo.

El informe del general Byte también advirtió que las aplicaciones JAVA maliciosas cargadas aparecerían en la carpeta "/batm/app/admin/standalone/deployments/" como archivos .war y .war.deployed con nombres aleatorios, como se muestra a continuación.

La compañía señala que los nombres de los archivos son probablemente diferentes por víctima.


Aquellos sin signos de una violación aún deben considerar todas sus contraseñas CAS y claves API comprometidas e invalidarlas inmediatamente y generar otras nuevas. Todas las contraseñas de usuario también deben restablecerse.

Las instrucciones detalladas paso a paso para todos los operadores de servidores sobre la protección de sus puntos finales se incluyen en la declaración de la compañía.

Cerrar el servicio en la nube

General Bytes dice que están cerrando su servicio en la nube, afirmando que le resulta "teóricamente (y prácticamente) imposible" protegerlo de los malos actores cuando debe proporcionar acceso simultáneamente a múltiples operadores.

La compañía proporcionará soporte con la migración de datos a aquellos que deseen instalar su propio CAS independiente, que ahora debe colocarse detrás de un firewall y VPN.

General Byte también ha publicado una corrección de seguridad CAS que corrige la vulnerabilidad explotada, proporcionada en dos parches, 20221118.48 y 20230120.44.

También destaca que el sistema violado se sometió a múltiples auditorías de seguridad desde 2021, pero ninguna identificó la vulnerabilidad explotada.

Además, los investigadores del intercambio de criptomonedas Kraken encontraron múltiples vulnerabilidades en los cajeros automáticos de General Bytes en 2021, que la compañía solucionó rápidamente.

Sin embargo, incluso con estas auditorías de seguridad, en agosto de 2022, General Bytes tuvo un incidente de seguridad donde los piratas informáticos explotaron una vulnerabilidad de día cero en sus servidores de cajeros automáticos para robar criptomonedas de sus clientes.

La compañía dice que planea realizar numerosas auditorías de seguridad de sus productos por parte de múltiples compañías en un corto período de tiempo para descubrir y corregir otras fallas potenciales antes de que los malos actores las encuentren.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ferrari ha revelado una violación de datos luego de una demanda de rescate recibida después de que los atacantes obtuvieron acceso a algunos de los sistemas de TI de la compañía.

"Lamentamos informarle de un incidente cibernético en Ferrari, donde un actor de amenazas pudo acceder a un número limitado de sistemas en nuestro entorno de TI", dice Ferrari en las cartas de notificación de incumplimiento enviadas a los clientes.

El fabricante italiano de autos deportivos de lujo dice que la información del cliente expuesta en el incidente incluye nombres, direcciones, direcciones de correo electrónico y números de teléfono.

Hasta ahora, Ferrari aún no ha encontrado evidencia de que se haya accedido o robado detalles de pago, números de cuentas bancarias u otra información de pago confidencial.

"Ferrari N.V. anuncia que Ferrari S.p.A., su filial italiana de propiedad absoluta, fue contactada recientemente por un actor de amenazas con una demanda de rescate relacionada con ciertos datos de contacto del cliente", dijo la compañía en un comunicado.

"Al recibir la demanda de rescate, inmediatamente comenzamos una investigación en colaboración con una empresa líder mundial de ciberseguridad de terceros".


Sin impacto en las operaciones de Ferrari

Ferrari ha tomado medidas para asegurar los sistemas comprometidos y dice que el ataque no ha tenido ningún impacto en las operaciones de la compañía.

Después de descubrir la violación, Ferrari también informó del ataque a las autoridades pertinentes y está trabajando con una empresa de ciberseguridad para investigar el alcance del impacto.

"Como política, Ferrari no será secuestrado, ya que pagar tales demandas financia la actividad criminal y permite a los actores de amenazas perpetuar sus ataques", agregó la compañía.

"En cambio, creímos que el mejor curso de acción era informar a nuestros clientes y, por lo tanto, hemos notificado a nuestros clientes sobre la posible exposición de datos y la naturaleza del incidente".

Un portavoz de Ferrari no estuvo disponible de inmediato para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Amazon Linux 2023 es la nueva versión de la distribución desarrollada por el gigante detrás del conocido bazar y de Amazon Web Services (AWS), que en esta ocasión llega con algunas novedades importantes que profundizan en la adopción de Fedora como base en lugar de Red Hat Enteprise Linux (RHEL).

Amazon Linux, como es de esperar para quienes conozcan las diversas facetas que abarca el gigante fundado por Jeff Bezos, es una distribución desarrollada por y para AWS. La propia compañía dice que es la preferida por sus clientes debido a la ausencia de costes de licencia y sobre todo por "la estrecha integración con herramientas y capacidades específicas de AWS", así como por facilitar un "acceso inmediato a nuevas innovaciones de AWS y una experiencia de soporte de un solo proveedor".

La corporación explica que Amazon Linux 2023 (AL2023) "está diseñado para proporcionar un entorno seguro, estable y de alto rendimiento para desarrollar y ejecutar sus aplicaciones en la nube". Entre las novedades que ofrece en comparación con Amazon Linux 2, nos encontramos con que SELinux se encuentra activado en modo permisivo y con IMDSv2 habilitado por defecto junto a la capacidad de parchear el kernel en caliente. Otras características mencionadas son "una integración perfecta con varios servicios y herramientas de desarrollo de AWS" y "un rendimiento optimizado para las instancias basadas en Graviton de Amazon Elastic Compute Cloud (EC2) y AWS Support sin costo de licencia adicional".

Profundizando un poco en otra de las características, Amazon explica que, con las "actualizaciones deterministas a través de repositorios versionados, puede bloquear una versión específica del repositorio de paquetes de Amazon Linux, lo que le brinda control sobre cómo y cuándo absorbe las actualizaciones. Con esta capacidad, puede cumplir con las mejores prácticas operativas de manera más eficiente al garantizar la coherencia entre las versiones de los paquetes y las actualizaciones en todo su entorno".

El gigante responsable del conocido bazar ha explicado que a partir de AL2023 habrá una nueva versión mayor de Amazon Linux que será publicada cada dos años y que cada lanzamiento contará con hasta cinco años de soporte. Con una cadencia clara y fija, se brinda un ciclo de lanzamiento predecible que debería facilitar la planificación por parte de los usuarios y los administradores de sistema.

La cadencia de lanzamientos y el tiempo máximo de soporte anunciados ponen en evidencia que Amazon Linux 2023 no se ajusta ni va en sincronía con ninguna versión de Fedora en particular. "Amazon Linux 2023 mantiene sus propios ciclos de vida y soporte independientes de Fedora. AL2023 proporciona versiones actualizadas de software de código abierto, una mayor variedad de paquetes y lanzamientos frecuentes."

"AL2023 GA incluye componentes de Fedora 34, 35 y 36. Algunos de los componentes son los mismos que los componentes de Fedora y algunos están modificados. Otros componentes se parecen más a los de CentOS 9 Stream o se desarrollaron de forma independiente".

En Phoronix han comparado Amazon Linux 2023 y Amazon Linux 2 para descubrir que el primero, según sus pruebas, rinde aproximadamente un 14% más que el segundo, lo que muestra que al menos en este sentido el cambio de base a Fedora ha sido un éxito. Todos los detalles sobre el lanzamiento que protagoniza esta entada pueden ser consultados a través del anuncio oficial y la documentación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La situación de Docker no es idílica desde hace tiempo. La empresa detrás del conocido motor de contenedores ha tomado en los últimos tiempos decisiones que han sembrado cierta desconfianza, pero la última puede que sea la que colme el vaso, ya que al parecer las cuentas que operan organizaciones de forma gratuita podrían desaparecer de Docker Hub, lo que puede terminar impactando negativamente en proyectos de código abierto.

Alex Ellis, fundador de OpenFaaS, cuenta en su blog personal que Docker ha enviado emails a usuarios de Docker Hub que han creado organizaciones que operan de forma gratuita para decirles que, si no pasan por caja en treinta días, sus cuentas serán eliminadas junto a todas sus imágenes después de un periodo de retención de otros treinta días. Las críticas que empezaron a aparecer a través de las redes hicieron que Docker suavizara un poco el mensaje, pero parece que, al menos por ahora, están decididos a seguir adelante con la eliminación de las cuentas que hayan creado una organización que opera bajo el plan gratuito.

Alex Ellis explica que, si bien no se opone que Docker pueda generar dinero, el último movimiento realizado por la compañía podría acarrear algunos problemas. Para empezar, las organizaciones que quieran almacenar imágenes públicas en Docker Hub tendrán que pagar 420 dólares anuales, estima.

Aquí nos encontramos con que muchos proyectos de código abierto están desarrollados y mantenidos por una única persona o por pequeñas organizaciones que no tienen el músculo económico suficiente como para pasar por caja. Ellis expone que entendería que esto se aplicara a los repositorios privados o a las nuevas organizaciones, pero no a las que están presentes.

Muchos proyectos de código abierto han publicado sus imágenes en Docker Hub durante años de forma pública, gratuita y a través de una organización. Alex Ellis expone que esta vía abre la puerta a que cualquiera pueda «ciberocupar» las imágenes para publicar contenido malicioso. Debido a eso, las imágenes comunitarias y gratuitas de OpenFaaS ahora son publicadas en el registro de contenedores de GitHub.

El último problema señalado por Ellis es que "Docker tiene una definición hostil y fuera de contacto de lo que está permitido para su programa de código abierto. Descarta todo lo que no sean proyectos de tiempo libre o proyectos que hayan sido totalmente donados a una fundación de código abierto", denuncia.

¿Qué se puede hacer en caso de estar empleando una organización en Docker Hub que opera de forma gratuita? El fundador de OpenFaaS recomienda a los usuarios legítimos, en caso de ser viable la eliminación completa de la organización, ciberocupar las imágenes antes de que lo haga un actor malicioso. Para ello habría que crear una nueva cuenta personal en Docker Hub, hacer una réplica de todas las imágenes y etiquetas hacia dicha cuenta nueva, eliminar la organización y renombrar la nueva cuenta de usuario personal para que coincida con el que tenía la organización.

Por ahora parece que los usuarios individuales sí podrán seguir operando de forma gratuita, pues el plan de suscripción gratuito no desaparece, aunque se dirige solo a individuos. La otra vía es publicar las imágenes en el Registro de Contenedores de GitHub, el cual ofrece almacenamiento gratuito. Alex Ellis avisa que esta solución no es una panacea, ya que "GitHub también perjudicó a los desarrolladores de código abierto fue cuando canceló todos los patrocinios a los mantenedores a los que se les pagaba a través de PayPal".

Ellis recalca que, a pesar de sus críticas hacia la decisión de Docker, no se considera como una persona que piense que todo el software y todos los servicios deban ser gratuitos y es más, él mismo emplea una cuenta personal de pago en Docker Hub para obtener las imágenes base como las de Go y Node.js como parte su trabajo en torno al código abierto. Eso sí, lo de publicar imágenes es ya otro asunto.

Veremos qué pasa con Docker Hub en un futuro si la empresa responsable decide mantenerse firme en su decisión. El propio Alex Ellis ha enlazado en su blog los ingresos que Docker, los cuales han aumentado mucho en los últimos años.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha publicado un script para facilitar la revisión de una vulnerabilidad de seguridad de omisión de BitLocker en el Entorno de recuperación de Windows (WinRE).

Este script de PowerShell (KB5025175) simplifica el proceso de proteger las imágenes de WinRE contra los intentos de aprovechar el error CVE-2022-41099 que permite a los atacantes omitir los dispositivos de almacenamiento del sistema de la característica de cifrado de dispositivos de BitLocker.

La explotación exitosa de esto permite a los actores de amenazas con acceso físico acceder a datos cifrados en ataques de baja complejidad.

Según Microsoft, la vulnerabilidad no se puede explotar si el usuario ha habilitado la protección TPM + PIN de BitLocker.

"El script de ejemplo de PowerShell fue desarrollado por el equipo de producto de Microsoft para ayudar a automatizar la actualización de imágenes WinRE en dispositivos Windows 10 y Windows 11", dice Microsoft en un documento de soporte publicado el jueves.

"Ejecute el script con credenciales de administrador en PowerShell en los dispositivos afectados. Hay dos scripts disponibles: el script que debe usar depende de la versión de Windows que esté ejecutando.

La versión de script recomendada es PatchWinREScript_2004plus.ps1, que ayuda a aplicar las actualizaciones de seguridad en sistemas que ejecutan Windows 10 2004 y versiones posteriores (incluido Windows 11).

El otro script de PowerShell (PatchWinREScript_General.ps1) es menos robusto y debe usarse en Windows 10 1909 y versiones anteriores (aunque se ejecutará en todos los sistemas Windows 10 y Windows 11).


Cómo utilizar el script de revisión de WinRE

Los scripts de revisión CVE-2022-41099 se pueden ejecutar desde Windows PowerShell y permiten a los administradores especificar la ruta de acceso y el nombre del paquete de actualización dinámica de SO seguro que se debe usar para actualizar la imagen de WinRE.

Estos paquetes de actualización son específicos de la versión del sistema operativo y de la arquitectura del procesador, y deben descargarse previamente del Catálogo de Microsoft Update.

Los scripts también permiten pasar un parámetro workDir para seleccionar el espacio temporal que se utilizará durante el proceso de aplicación de parches (si no se especifica, el script utilizará la carpeta temporal predeterminada de Windows).

Una vez iniciado, el script seguirá los siguientes pasos:

• Monte la imagen de WinRE existente (WINRE. WIM).
• Actualice la imagen de WinRE con el paquete especificado de actualización dinámica de SO seguro (actualización de compatibilidad) disponible en el Catálogo de Windows Update (se recomienda la actualización más reciente disponible para la versión de Windows instalada en el dispositivo)
• Desmonte la imagen de WinRE.
• Si el protector TPM de BitLocker está presente, vuelve a configurar WinRE para el servicio BitLocker.

Después de ejecutar el script, no será necesario reiniciar el sistema para completar el proceso de revisión de imágenes de WinRE.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La NBA (Asociación Nacional de Baloncesto) está notificando a los fanáticos de una violación de datos después de que parte de su información personal, "en retención" de un servicio de boletín de terceros, fuera robada.

La NBA es una organización global de deportes y medios de comunicación que administra cinco ligas deportivas profesionales, incluidas la NBA, la WNBA, la Basketball Africa League, la NBA G League y la NBA 2K League.

La programación y los juegos de la NBA se transmiten en todo el mundo, en más de 215 países y territorios, abarcando más de 50 idiomas.

En los correos electrónicos de "Aviso de incidente de ciberseguridad" enviados a un número desconocido de fanáticos, la NBA dice que sus sistemas no fueron violados y que las credenciales de los fanáticos afectados no se vieron afectadas en este incidente. Sin embargo, la información personal de algunos fanáticos fue robada.


"Recientemente nos dimos cuenta de que un tercero no autorizado obtuvo acceso y obtuvo una copia de su nombre y dirección de correo electrónico, que estaba en manos de un proveedor de servicios externo que nos ayuda a comunicarnos por correo electrónico con los fanáticos que han compartido esta información con la NBA", dice la NBA.

"No hay indicios de que nuestros sistemas, su nombre de usuario, contraseña o cualquier otra información que haya compartido con nosotros se hayan visto afectados".

Después de ser informada del incidente, la NBA está trabajando con el proveedor de servicios externo como parte de una investigación en curso y ha contratado los servicios de expertos externos en ciberseguridad para analizar el alcance del impacto.

Se advierte a los fanáticos que tengan cuidado con los ataques de phishing

La NBA también advirtió que, debido a la naturaleza sensible de los datos involucrados, existe una mayor probabilidad de que las personas afectadas puedan ser blanco de ataques de phishing y varias estafas.

Se alentó encarecidamente a los fanáticos afectados a permanecer atentos al abrir correos electrónicos o comunicaciones sospechosas que puedan parecer originadas por la NBA o sus socios.

"Dada la naturaleza de la información, puede haber un mayor riesgo de que reciba correos electrónicos de 'phishing' de cuentas de correo electrónico que parecen estar afiliadas a la NBA, o de ser blanco de otros ataques llamados de 'ingeniería social' (donde un individuo busca engañar al objetivo para que comparta información confidencial o tome medidas contrarias a su propio interés, ", dijo la NBA.

Los correos electrónicos de notificación agregan que la NBA nunca solicitará la información de la cuenta de los fanáticos, incluidos nombres de usuario o contraseñas, por correo electrónico.

También se recomienda a los fans afectados que verifiquen que los correos electrónicos recibidos se envíen desde una dirección de correo electrónico legítima "@nba.com", que verifiquen que los enlaces incrustados apunten a un sitio web de confianza y que nunca abran archivos adjuntos de correo electrónico que no esperan recibir.

Un portavoz de la NBA no estuvo disponible para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La explotación de día cero de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS se ha relacionado con un presunto grupo de piratería chino.

La firma de inteligencia de amenazas Mandiant, que hizo la atribución, dijo que el grupo de actividad es parte de una campaña más amplia diseñada para implementar puertas traseras en las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las víctimas.

La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google está rastreando la operación maliciosa bajo su apodo sin categorizar UNC3886, un actor de amenazas de nexo con China.

"UNC3886 es un grupo avanzado de ciberespionaje con capacidades únicas en la forma en que operan en la red, así como las herramientas que utilizan en sus campañas", dijeron los investigadores de Mandiant en un análisis técnico.

"UNC3886 se ha observado apuntando a tecnologías de firewall y virtualización que carecen de soporte EDR. Su capacidad para manipular el firmware del firewall y explotar un día cero indica que han seleccionado un nivel más profundo de comprensión de tales tecnologías".

Vale la pena señalar que el adversario estaba vinculado previamente a otro conjunto de intrusiones dirigido a servidores VMware ESXi y Linux vCenter como parte de una campaña de hiperjacking diseñada para eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.

La última revelación de Mandiant se produce cuando Fortinet reveló que las entidades gubernamentales y las grandes organizaciones fueron víctimas de un actor de amenazas no identificado al aprovechar un error de día cero en el software Fortinet FortiOS para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.

La vulnerabilidad, rastreada como CVE-2022-41328 (puntuación CVSS: 6.5), se refiere a un error de recorrido de ruta en FortiOS que podría conducir a la ejecución de código arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.

Según Mandiant, los ataques montados por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes como THINCRUST y CASTLETAP. Esto, a su vez, fue posible debido al hecho de que el dispositivo FortiManager estaba expuesto a Internet.


THINCRUST es una puerta trasera de Python capaz de ejecutar comandos arbitrarios, así como leer y escribir desde y hacia archivos en el disco.

La persistencia ofrecida por THINCRUST se aprovecha posteriormente para entregar scripts FortiManager que arman la falla transversal de ruta de FortiOS para sobrescribir archivos legítimos y modificar imágenes de firmware.

Esto incluye una carga útil recién agregada llamada "/ bin / fgfm" (conocida como CASTLETAP) que se dirige a un servidor controlado por actores para aceptar instrucciones entrantes que le permiten ejecutar comandos, obtener cargas útiles y filtrar datos del host comprometido.


"Una vez que CASTLETAP se implementó en los firewalls FortiGate, el actor de amenazas se conectó a las máquinas ESXi y vCenter", explicaron los investigadores. "El actor de amenazas implementó VIRTUALPITA y VIRTUALPIE para establecer la persistencia, permitiendo el acceso continuo a los hipervisores y las máquinas invitadas".

Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de amenazas ha pivotado desde un firewall FortiGate comprometido con CASTLETAP para dejar caer una puerta trasera de shell inversa llamada REPTILE ("/ bin / klogd") en el sistema de administración de red para recuperar el acceso.

UNC3886 también emplea en esta etapa una utilidad denominada TABLEFLIP, un software de redirección de tráfico de red para conectarse directamente al dispositivo FortiManager independientemente de las reglas de lista de control de acceso (ACL) implementadas.

Esta está lejos de ser la primera vez que los colectivos adversarios chinos se han dirigido a equipos de red para distribuir malware a medida, con ataques recientes que aprovechan otras vulnerabilidades en dispositivos Fortinet y SonicWall.

La revelación también se produce cuando los actores de amenazas están desarrollando e implementando exploits más rápido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete días posteriores a la divulgación pública, un aumento del 12% con respecto a 2021 y un aumento del 87% con respecto a 2020, según Rapid7.

Esto también es significativo, sobre todo porque los equipos de piratería alineados con China se han vuelto "particularmente competentes" en la explotación de vulnerabilidades de día cero y el despliegue de malware personalizado para robar credenciales de usuario y mantener el acceso a largo plazo a las redes objetivo.

"La actividad [...] es una prueba más de que los actores avanzados de amenazas de ciberespionaje están aprovechando cualquier tecnología disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnologías que no admiten soluciones EDR", dijo Mandiant.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las autoridades policiales de Estados Unidos arrestaron a un hombre de Nueva York en relación con la gestión del infame foro de piratería BreachForums bajo el alias en línea "Pompompurin".

El desarrollo, reportado por primera vez por Bloomberg Law, se produce después de que News 12 Westchester, a principios de esta semana, dijera que los investigadores federales "pasaron horas dentro y fuera de una casa en Peekskill".

"En un momento dado, los investigadores fueron vistos sacando varias bolsas de evidencia de la casa", agregó el servicio local de noticias con sede en Nueva York.

Según una declaración jurada presentada por la Oficina Federal de Investigaciones (FBI), el sospechoso se identificó como Conor Brian Fitzpatrick y admitió ser el propietario del sitio web BreachForums.

"Cuando arresté al acusado el 15 de marzo de 2023, me declaró en sustancia y en parte que: a) su nombre era Conor Brian Fitzpatrick; b) usó el alias 'pompompurin', y c) era el propietario y administrador de 'BreachForums'", dijo el agente especial del FBI, John Longmire.

Fitzpatrick ha sido acusado de un cargo de conspiración para solicitar individuos con el propósito de vender dispositivos de acceso no autorizados.

El acusado fue liberado un día después con una fianza de $ 300,000 firmada por sus padres y está programado para comparecer ante el Tribunal de Distrito para el Distrito Este de Virginia el 24 de marzo de 2023.

Además de tener prohibido obtener un pasaporte u otro documento de viaje internacional, a Fitzpatrick se le ha restringido contactar a sus co-conspiradores y usar un narcótico u otras sustancias controladas a menos que sea recetado por un médico con licencia.

BreachForums surgió el año pasado, tres semanas después de que una operación coordinada de aplicación de la ley tomara el control de RaidForums en marzo de 2022.

"En el hilo de bienvenida del actor de amenazas, 'pompompurin' declaró que habían creado BreachForums como una alternativa a RaidForums, pero que 'no estaba afiliado a RaidForums en ninguna capacidad'", dijo la firma de ciberseguridad Flashpoint en ese momento.


Desde entonces, el foro ha atraído notoriedad por alojar bases de datos robadas pertenecientes a varias compañías, que a menudo incluyen información personal confidencial.

A raíz del arresto de Fitzpatrick, otro usuario del foro llamado Baphomet dijo que estaban tomando posesión del sitio web, señalando que no hay evidencia de "acceso o modificaciones a Breach".

"Mi única respuesta a [la policía], o a cualquier medio de comunicación es que no tengo preocupaciones por mí mismo en este momento", dijo Baphomet en el anuncio. "OPSEC ha sido mi enfoque desde el primer día, y afortunadamente no creo que ningún león de montaña me ataque en mi pequeño bote de pesca".

El desarrollo se produce cuando la Policía Cibernética de Ucrania anunció el arresto de un desarrollador de 25 años que creó un troyano de acceso remoto que infectó a más de 10,000 computadoras bajo la apariencia de aplicaciones de juegos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el 15 de marzo una vulnerabilidad de seguridad que afecta a Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.

La falla crítica en cuestión es CVE-2023-26360 (puntuación CVSS: 8.6), que podría ser explotada por un actor de amenazas para lograr la ejecución de código arbitrario.

"Adobe ColdFusion contiene una vulnerabilidad de control de acceso incorrecta que permite la ejecución remota de código", dijo CISA.

La vulnerabilidad afecta a ColdFusion 2018 (Update 15 y versiones anteriores) y ColdFusion 2021 (Update 5 y versiones anteriores). Se ha abordado en las versiones Update 16 y Update 6, respectivamente, publicadas el 14 de marzo de 2023.

Vale la pena señalar que CVE-2023-26360 también afecta a las instalaciones de ColdFusion 2016 y ColdFusion 11, las cuales ya no son compatibles con la compañía de software ya que han llegado al final de su vida útil (EoL).

Si bien se desconocen los detalles exactos que rodean la naturaleza de los ataques, Adobe dijo en un aviso que es consciente de que la falla está siendo "explotada en la naturaleza en ataques muy limitados".

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones antes del 5 de abril de 2023 para proteger sus redes contra posibles amenazas.

Charlie Arehart, un investigador de seguridad acreditado con el descubrimiento y la denuncia de la falla junto con Pete Freitag, lo describió como un problema "grave" que podría resultar en una "ejecución de código arbitrario" y una "lectura arbitraria del sistema de archivos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una coalición de agencias policiales de toda Europa y Estados Unidos anunció la eliminación de ChipMixer, un mezclador de criptomonedas sin licencia que comenzó sus operaciones en agosto de 2017.

"El software ChipMixer bloqueó el rastro blockchain de los fondos, haciéndolo atractivo para los ciberdelincuentes que buscan lavar ganancias ilegales de actividades delictivas como el tráfico de drogas, el tráfico de armas, los ataques de ransomware y el fraude con tarjetas de pago", dijo Europol en un comunicado.

El ejercicio coordinado, además de desmantelar los sitios web clearnet y dark web asociados con ChipMixer, también resultó en la incautación de $ 47.5 millones en Bitcoin y 7 TB de datos.

Los mezcladores, también llamados vasos, ofrecen anonimato total por una tarifa al mezclar criptomonedas de diferentes usuarios, tanto fondos legítimos como derivados de la delincuencia, de una manera que dificulta el rastreo de los orígenes.

Esto se logra canalizando diferentes pagos en un solo grupo antes de dividir cada cantidad y transmitirlos a los destinatarios designados, convirtiéndolo así en una opción atractiva para los delincuentes que buscan cobrar y cambiar el dinero contaminado por moneda fiduciaria.

Según un informe de Chainalysis en enero de 2023, "los mezcladores procesaron un total de $ 7.8 mil millones en 2022, el 24% de los cuales provino de direcciones ilícitas", y "la gran mayoría del valor ilícito procesado por los mezcladores se compone de fondos robados, la mayoría de los cuales fueron robados por piratas informáticos vinculados a Corea del Norte".

Se estima que ChipMixer, el servicio centralizado de mezclador criptográfico más grande del mundo, ha lavado no menos de $ 3.75 mil millones en activos digitales (152,000 BTC) para promover una amplia gama de esquemas criminales.

La firma de análisis de blockchain Elliptic dijo que ChipMixer se ha utilizado para lavar más de $ 844 millones en Bitcoin que pueden vincularse directamente a actividades delictivas.

"ChipMixer fue uno de una variedad de mezcladores utilizados para lavar las ganancias de los hackeos perpetrados por el Grupo Lazarus de Corea del Norte", dijo el cofundador y científico jefe de Elliptic, Tom Robinson.

Esto comprende el robo de KuCoin en septiembre de 2020, así como los hacks Axie Infinity Ronin Bridge y Harmony Horizon Bridge que tuvieron lugar el año pasado.

El Grupo Lazarus está lejos de ser el único cliente infame que ha utilizado el servicio para ofuscar las pistas financieras. Los otros actores prominentes consisten en equipos de ransomware como LockBit, Sodinokibi (también conocido como REvil), Zeppelin, Mamba, Dharma y SunCrypt.

Además, se dice que ChipMixer ha atraído más de $ 200 millones en Bitcoin vinculados a compras originadas en los mercados de la red oscura, incluidos $ 60 millones de clientes de la ahora desaparecida Hydra.

La plataforma mezcladora, según el Departamento de Justicia de los Estados Unidos (DoJ), también procesó la criptomoneda utilizada por el grupo de piratería APT28 vinculado a Rusia (también conocido como Fancy Bear o Strontium) para adquirir la infraestructura empleada en relación con un malware llamado Drovorub.

Coincidiendo con la represión, el Departamento de Justicia acusó además a un ciudadano vietnamita de 49 años, Minh Quốc Nguyễn, por su papel en la creación y ejecución de la infraestructura en línea de ChipMixer y la publicidad de sus servicios.

"ChipMixer facilitó el lavado de criptomonedas, específicamente Bitcoin, a gran escala internacional, instigando a actores nefastos y criminales de todo tipo para evadir la detección", dijo la fiscal federal Jacqueline C. Romero.

"Plataformas como ChipMixer, que están diseñadas para ocultar las fuentes y destinos de cantidades asombrosas de ganancias criminales, socavan la confianza del público en las criptomonedas y la tecnología blockchain".

El desarrollo es el último de una serie de acciones de aplicación de la ley emprendidas por gobiernos de todo el mundo para abordar el delito cibernético, y se produce semanas después de que se iniciaran "procedimientos penales" contra presuntos miembros principales de la pandilla de ransomware DoppelPaymer.

ChipMixer es también el cuarto servicio de mezclador prohibido en los últimos años después de la interrupción de Bestmixer, Blender y Tornado Cash, los dos últimos de los cuales fueron sancionados por el Departamento del Tesoro de los Estados Unidos el año pasado por complicidad con Lazarus Group y otros actores de amenazas en el lavado de ganancias mal habidas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Project Zero, el equipo de búsqueda de errores de día cero de Google, descubrió e informó 18 vulnerabilidades de día cero en los conjuntos de chips Exynos de Samsung utilizados en dispositivos móviles, dispositivos portátiles y automóviles.

Las fallas de seguridad del módem Exynos se informaron entre finales de 2022 y principios de 2023. Cuatro de los dieciocho días cero fueron identificados como los más serios, permitiendo la ejecución remota de código desde Internet a la banda base.

Estos errores de ejecución remota de código (RCE) de Internet a banda base (incluidos CVE-2023-24033 y otros tres que aún esperan un CVE-ID) permiten a los atacantes comprometer dispositivos vulnerables de forma remota y sin ninguna interacción del usuario.

"El software de banda base no verifica adecuadamente los tipos de formato del atributo de tipo de aceptación especificado por el SDP, lo que puede conducir a una denegación de servicio o ejecución de código en el módem de banda base de Samsung", dice Samsung en un aviso de seguridad que describe la vulnerabilidad CVE-2023-24033.

La única información requerida para que los ataques se lleven a cabo es el número de teléfono de la víctima, según Tim Willis, jefe de Project Zero.

Para empeorar las cosas, con una investigación adicional mínima, los atacantes experimentados podrían crear fácilmente un exploit capaz de comprometer de forma remota los dispositivos vulnerables sin llamar la atención de los objetivos.

"Debido a una combinación muy rara de nivel de acceso que proporcionan estas vulnerabilidades y la velocidad con la que creemos que se podría elaborar un exploit operativo confiable, hemos decidido hacer una excepción de política para retrasar la divulgación de las cuatro vulnerabilidades que permiten la ejecución remota de código de Internet a banda base", dijo Willis.

Las 14 fallas restantes (incluidas CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 y otras nueve en espera de CVE-ID) no son tan críticas, pero aún representan un riesgo. La explotación exitosa requiere acceso local o un operador de red móvil malicioso.

Según la lista de chipsets afectados proporcionada por Samsung, la lista de dispositivos afectados incluye, entre otros:

• Dispositivos móviles de Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
• Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
• Las series de dispositivos Pixel 6 y Pixel 7 de Google;
• cualquier wearable que utilice el chipset Exynos W920; y
• cualquier vehículo que utilice el chipset Exynos Auto T5123.

Solución disponible para los dispositivos afectados

Si bien Samsung ya ha proporcionado actualizaciones de seguridad que abordan estas vulnerabilidades en los chipsets afectados a otros proveedores, los parches no son públicos y no pueden ser aplicados por todos los usuarios afectados.

La línea de tiempo de parches de cada fabricante para sus dispositivos será diferente, pero, por ejemplo, Google ya ha abordado CVE-2023-24033 para los dispositivos Pixel afectados en sus actualizaciones de seguridad de marzo de 2023.


Sin embargo, hasta que los parches estén disponibles, los usuarios pueden frustrar los intentos de explotación de RCE de banda base dirigidos a los chipsets Exynos de Samsung en su dispositivo deshabilitando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) para eliminar el vector de ataque.

Samsung también confirmó la solución de Project Zero, diciendo que "los usuarios pueden deshabilitar las llamadas WiFi y VoLTE para mitigar el impacto de esta vulnerabilidad".

"Como siempre, alentamos a los usuarios finales a actualizar sus dispositivos lo antes posible, para asegurarse de que están ejecutando las últimas compilaciones que corrigen las vulnerabilidades de seguridad divulgadas y no reveladas", agregó Willis.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El grupo de ransomware BianLian ha cambiado su enfoque de cifrar los archivos de sus víctimas a solo exfiltrar datos encontrados en redes comprometidas y usarlos para extorsión.

Este desarrollo operativo en BianLian fue reportado por la compañía de ciberseguridad Redacted, que ha visto signos de que el grupo de amenazas intenta elaborar sus habilidades de extorsión y aumentar la presión sobre las víctimas.

BianLian es una operación de ransomware que apareció por primera vez en la naturaleza en julio de 2022, violando con éxito múltiples organizaciones de alto perfil.

En enero de 2023, Avast lanzó un descifrador gratuito para ayudar a las víctimas a recuperar archivos cifrados por el ransomware.

Ataques recientes de BianLian

Los operadores de BianLian han mantenido sus técnicas iniciales de acceso y movimiento lateral iguales y continúan implementando una puerta trasera personalizada basada en Go que les brinda acceso remoto en el dispositivo comprometido, aunque una versión ligeramente mejorada del mismo.

Los actores de amenazas publican a sus víctimas en forma enmascarada tan pronto como 48 horas después de la violación en su sitio de extorsión, dándoles aproximadamente diez días para pagar el rescate.

A partir del 13 de marzo de 2023, BianLian ha enumerado un total de 118 organizaciones de víctimas en su portal de extorsión, y la gran mayoría (71%) son empresas con sede en los Estados Unidos.


La principal diferencia observada en los ataques recientes es que BianLian intenta monetizar sus infracciones sin cifrar los archivos de la víctima. En cambio, ahora se basa únicamente en amenazar con filtrar los datos robados.

"El grupo promete que después de que se les pague, no filtrarán los datos robados ni revelarán el hecho de que la organización víctima ha sufrido una violación. BianLian ofrece estas garantías basadas en el hecho de que su "negocio" depende de su reputación", menciona Redacted en el informe.

"En varios casos, BianLian hizo referencia a los problemas legales y regulatorios que enfrentaría una víctima si se hiciera público que la organización había sufrido una violación. El grupo también ha ido tan lejos como para incluir referencias específicas a las subsecciones de varias leyes y estatutos.

Redacted ha encontrado que en muchos casos, las referencias legales hechas por los operadores de BianLian eran aplicables en la región de la víctima, lo que indica que los actores de amenazas están perfeccionando sus habilidades de extorsión al analizar los riesgos legales de una víctima para formular argumentos sólidos.

Se desconoce si BianLian abandonó la táctica de cifrado porque Avast rompió su cifrado o porque este evento les ayudó a darse cuenta de que no necesitaban esa parte de la cadena de ataque para extorsionar a las víctimas para que pagaran rescates.

Cabe mencionar que cuando Avast lanzó su descifrador gratuito, BianLian minimizó su importancia, diciendo que solo funcionaría en versiones tempranas del "verano de 2022" del ransomware y corrompería los archivos cifrados por todas las compilaciones posteriores.

Extorsión sin cifrado

El cifrado de archivos, el robo de datos y la amenaza de filtrar archivos robados se conoce como una táctica de "doble extorsión", que sirve como una forma adicional de coerción para las bandas de ransomware que buscan aumentar la presión sobre sus víctimas.

Sin embargo, a través del intercambio natural entre los actores de amenazas y las víctimas, las bandas de ransomware se dieron cuenta de que, en muchos casos, la fuga de datos confidenciales era un incentivo de pago aún más fuerte para las víctimas.

Esto dio lugar a operaciones de ransomware sin cifrado, como Babuk y SnapMC, y operaciones de extorsión que afirman no participar en el cifrado de archivos ellos mismos (o en absoluto), como RansomHouse, Donut y Karakurt.

Aún así, la mayoría de los grupos de ransomware continúan utilizando cargas útiles de cifrado en sus ataques, ya que la interrupción del negocio causada por el cifrado de dispositivos ejerce una presión aún mayor sobre muchas víctimas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El colapso del Silicon Valley Bank (SVB) el 10 de marzo de 2023 ha enviado ondas de turbulencia en todo el sistema financiero global, pero para los piratas informáticos, estafadores y campañas de phishing, se está convirtiendo en una excelente oportunidad.

Como informan varios investigadores de seguridad, los actores de amenazas ya están registrando dominios sospechosos, realizando páginas de phishing y preparándose para ataques de compromiso de correo electrónico empresarial (BEC).

Estas campañas tienen como objetivo robar dinero, robar datos de cuentas o infectar objetivos con malware.

SVB va a desaparecer

SVB fue un banco comercial con sede en Estados Unidos, el 16º más grande del país y el banco más grande por depósitos en Silicon Valley, California.

El 10 de marzo de 2023, el banco quebró después de una corrida en sus depósitos. Esta quiebra fue la más grande de cualquier banco desde la crisis financiera de 2007-2008 y la segunda más grande en la historia de Estados Unidos.

Este evento ha impactado a muchas empresas y personas en las industrias de tecnología, ciencias de la vida, atención médica, capital privado, capital de riesgo y vino premium que fueron clientes de SVB.

La situación caótica empeora aún más por los elementos prevalecientes de urgencia, incertidumbre y las cantidades significativas de dinero depositadas en el banco.

Los estafadores aprovechan la oportunidad

El investigador de seguridad Johannes Ulrich informó ayer que los actores de amenazas están aprovechando la oportunidad, registrando dominios sospechosos relacionados con SVB que es muy probable que se utilicen en ataques.


Algunos de los ejemplos dados en un informe publicado en el sitio web de SANS ISC incluyen:

• login-svb[.] .com
• SVBBalberout[.] .com
• svbcertificates[.] .com
• svbclaim[.] .com
• svbcollapse[.] .com
• svbdeposits[.] .com
• svbhelp[.] .com
• svblawsuit[.] .com

Ulrich advirtió que los estafadores podrían intentar ponerse en contacto con antiguos clientes de SVB para ofrecerles un paquete de apoyo, servicios legales, préstamos u otros servicios falsos relacionados con el colapso del banco.

Un ataque que ya se ha visto en la naturaleza es de actores de amenazas BEC que se hacen pasar por clientes de SVB y les dicen a los clientes que necesitan pagos enviados a una nueva cuenta bancaria después del colapso del banco.

Sin embargo, estas cuentas bancarias pertenecen a los actores de amenazas, que roban pagos destinados a ir a la empresa legítima.


La firma de inteligencia cibernética Cyble publicó hoy un informe similar que explora el desarrollo de amenazas temáticas SVB, advirtiendo sobre estos dominios adicionales:

• svbdebt[.] .com
• svbclaims[.] red
• SVB-USDC[.] .com
• SVB-USDC[.] red
• svbi[.] Io
• banksvb[.] .com
• svbank[.] .com
• svblogin[.] .com

Muchos de estos sitios se registraron el día del colapso del banco, el 10 de marzo de 2023, y ya están alojando estafas de criptomonedas.

Estas páginas fraudulentas les dicen a los clientes de SVB que el banco está distribuyendo USDC como parte de un programa de "reembolso".

"13 de marzo de 2023 - Silicon Valley Bank está distribuyendo activamente USDC como parte del programa SVB USDC payback a los titulares elegibles de USDC. Los pagos de USDC solo se pueden reclamar una vez por billetera ", afirma la estafa de criptomonedas.

Sin embargo, al hacer clic en el botón 'Haga clic aquí para reclamar' del sitio, aparece un código QR que intenta comprometer las billeteras criptográficas Metamask, Exodus y Trust Wallet cuando se escanean.


En otro caso, los actores de amenazas detrás de "cash4svb.com" intentan suplantar la información de contacto de los antiguos clientes de SVB que son acreedores comerciales o prestamistas, prometiéndoles un rendimiento entre el 65% y el 85%.


Estafas de círculos

La firma de pagos peer-to-peer Circle, que administra la popular moneda estable USDC, tenía una reserva de efectivo de $ 3.3 mil millones en el banco SVB. Sin embargo, el colapso de SVB ha creado incertidumbre a pesar de las garantías de la empresa sobre la liquidez del USDC.

Esta incertidumbre ha llevado a la creación de una red de sitios de estafa de criptomonedas que utilizan dominios de sitios web como:

• círculo redimido[.] .com
• círculo-reservas[.] .com
• circleusdcoin[.] .com
• círculo-mintusdc[.] .com
• svb-círculo[.] .com
• circle.web3claimer[.] red
• USD-Circle[.] .com

Estos sitios web no tienen ninguna afiliación real con Circle, y su único propósito es robar las billeteras, activos digitales o datos personales de sus visitantes.

La firma de seguridad de correo electrónico Proofpoint también ha detectado estafas de Circle derivadas de los eventos SVB, compartiendo en Twitter una muestra de correos electrónicos de phishing enviados a objetivos.


Si usted es un antiguo cliente de SVB, lo mejor que puede hacer es mantener la calma y seguir los canales de comunicación oficiales del gobierno de los Estados Unidos y la FDIC.

Ignore cualquier correo electrónico de dominios inusuales y verifique tres veces cualquier solicitud de supuestos clientes bancarios de SVB que le soliciten que cambie los detalles de la cuenta bancaria para los pagos.

El mejor método para confirmar los cambios de pago es comunicarse con su contacto por teléfono, no por correo electrónico, ya que las cuentas de correo electrónico pueden verse comprometidas durante estos ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha parcheado una vulnerabilidad de día cero de Outlook (CVE-2023-23397) explotada por un grupo de piratería vinculado al servicio de inteligencia militar ruso GRU para atacar organizaciones europeas.

La vulnerabilidad de seguridad fue explotada en ataques para atacar y violar las redes de menos de 15 organizaciones gubernamentales, militares, energéticas y de transporte entre mediados de abril y diciembre de 2022.

El grupo de piratería (rastreado como APT28, STRONTIUM, Sednit, Sofacy y Fancy Bear) envió notas y tareas maliciosas de Outlook para robar hashes NTLM a través de solicitudes de negociación NTLM al obligar a los dispositivos de los objetivos a autenticarse en recursos compartidos SMB controlados por el atacante.

Las credenciales robadas se usaron para el movimiento lateral dentro de las redes de las víctimas y para cambiar los permisos de la carpeta de buzón de Outlook, una táctica que permite la exfiltración de correo electrónico para cuentas específicas.

Microsoft compartió esta información en un informe privado de análisis de amenazas visto por BleepingComputer y disponible para los clientes con suscripciones de Microsoft 365 Defender, Microsoft Defender para empresas o Microsoft Defender para Endpoint Plan 2.

EoP crítica en Outlook para Windows

La vulnerabilidad (CVE-2023-23397) fue reportada por CERT-UA (el Equipo de Respuesta a Emergencias Informáticas para Ucrania), y es una falla crítica de seguridad de privilegios de elevación de Outlook explotable sin interacción del usuario en ataques de baja complejidad.

Los actores de amenazas pueden aprovecharlo enviando mensajes con propiedades MAPI extendidas que contienen rutas de acceso UNC a un recurso compartido SMB (TCP 445) bajo su control.

"El atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico especialmente diseñado que se activa automáticamente cuando es recuperado y procesado por el cliente de Outlook. Esto podría llevar a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa", dice Microsoft en un aviso de seguridad publicado hoy.

"La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede luego transmitir para la autenticación contra otros sistemas que admiten la autenticación NTLM", explica Redmond en una publicación de blog separada.

CVE-2023-23397 afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no afecta a las versiones de Outlook para Android, iOS o macOS.

Además, dado que los servicios en línea como Outlook en la web y Microsoft 365 no admiten la autenticación NTLM, no son vulnerables a los ataques que aprovechan esta vulnerabilidad de retransmisión NTLM.

Microsoft recomienda aplicar inmediatamente la revisión de CVE-2023-23397 para mitigar esta vulnerabilidad y frustrar cualquier ataque entrante.

La compañía también aconseja agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) si la aplicación de parches no es posible de inmediato, lo que podría limitar el impacto de CVE-2023-23397.

Script de detección de mitigación y segmentación disponible

Microsoft insta a los clientes a parchear inmediatamente sus sistemas contra CVE-2023-23397 o agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) como una mitigación temporal para minimizar el impacto de los ataques.

Redmond también lanzó un script de PowerShell dedicado para ayudar a los administradores a comprobar si algún usuario en su entorno de Exchange ha sido atacado mediante esta vulnerabilidad de Outlook.

"Comprueba los elementos de mensajería de Exchange (correo, calendario y tareas) para ver si una propiedad se rellena con una ruta UNC", señala Microsoft.

"Si es necesario, los administradores pueden usar este script para limpiar la propiedad en busca de elementos maliciosos o incluso eliminar los elementos de forma permanente".

Esta secuencia de comandos también permite modificar o eliminar mensajes potencialmente malintencionados si se encuentran en el servidor Exchange auditado cuando se ejecutan en modo de limpieza.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto la primera campaña ilícita de minería de criptomonedas utilizada para acuñar Dero desde principios de febrero de 2023.

"La novedosa operación de cryptojacking de Dero se concentra en localizar clústeres de Kubernetes con acceso anónimo habilitado en una API de Kubernetes y escuchar en puertos no estándar accesibles desde Internet", dijo CrowdStrike en un nuevo informe compartido con The Hacker News.

El desarrollo marca un cambio notable de Monero, que es una criptomoneda frecuente utilizada en tales campañas. Se sospecha que puede tener que ver con el hecho de que Dero "ofrece recompensas más grandes y proporciona las mismas o mejores funciones de anonimato".

Los ataques, atribuidos a un actor desconocido motivado financieramente, comienzan con el escaneo de clústeres de Kubernetes con autenticación establecida como --anonymous-auth=true, que permite que las solicitudes anónimas al servidor eliminen las cargas útiles iniciales de tres direcciones IP diferentes con sede en EE.

Esto incluye la implementación de un DaemonSet de Kubernetes llamado "proxy-api", que, a su vez, se utiliza para colocar un pod malicioso en cada nodo del clúster de Kubernetes para poner en marcha la actividad minera.


Con ese fin, el archivo YAML de DaemonSet está orquestado para ejecutar una imagen de Docker que contiene un binario de "pausa", que en realidad es el minero de monedas Dero.

"En una implementación legítima de Kubernetes, Kubernetes utiliza contenedores de 'pausa' para arrancar un pod", señaló la compañía. "Los atacantes pueden haber usado este nombre para mezclarse y evitar la detección obvia".

La compañía de ciberseguridad dijo que identificó una campaña paralela de minería de Monero también dirigida a clústeres de Kubernetes expuestos al intentar eliminar el DaemonSet "proxy-api" existente asociado con la campaña Dero.

Esta es una indicación de la lucha en curso entre los grupos de cryptojacking que compiten por los recursos de la nube para tomar y retener el control de las máquinas y consumir todos sus recursos.

"Ambas campañas están tratando de encontrar superficies de ataque Kubernetes no descubiertas y están luchando", dijeron los investigadores de amenazas de CrowdStrike Benjamin Grap y Manoj Ahuje.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas previamente indocumentado llamado YoroTrooper ha estado apuntando a organizaciones gubernamentales, energéticas e internacionales en toda Europa como parte de una campaña de espionaje cibernético que ha estado activa desde al menos junio de 2022.

"La información robada de compromisos exitosos incluye credenciales de múltiples aplicaciones, historiales y cookies del navegador, información del sistema y capturas de pantalla", dijeron los investigadores de Cisco Talos Asheer Malhotra y Vitor Ventura en un análisis del martes.

Los países prominentes afectados incluyen Azerbaiyán, Tayikistán, Kirguistán, Turkmenistán y otras naciones de la Comunidad de Estados Independientes (CEI).

Se cree que el actor de la amenaza es de habla rusa debido a los patrones de victimología y la presencia de fragmentos cirílicos en algunos de los implantes.

Dicho esto, se ha descubierto que el conjunto de intrusión YoroTrooper exhibe superposiciones tácticas con el equipo PoetRAT que se documentó en 2020 como un apalancamiento de cebos con temas de coronavirus para atacar a los sectores gubernamentales y energéticos en Azerbaiyán.

Los objetivos de recopilación de datos de YoroTrooper se realizan a través de una combinación de malware robador de productos básicos y de código abierto como Ave Maria (también conocido como Warzone RAT), LodaRAT, Meterpreter y Stink, con las cadenas de infección utilizando archivos de acceso directo maliciosos (LNK) y documentos señuelo envueltos en archivos ZIP o RAR que se propagan a través de spear-phishing.


Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA recuperado de un servidor remoto, que luego se utiliza para mostrar un documento PDF de señuelo, mientras se lanza sigilosamente un cuentagotas para entregar un ladrón personalizado que utiliza Telegram como canal de exfiltración.

El uso de LodaRAT es notable, ya que indica que el malware está siendo empleado por múltiples operadores a pesar de su atribución a otro grupo llamado Kasablanka, que también se ha observado distribuyendo Ave Maria en campañas recientes dirigidas a Rusia.

Otras herramientas auxiliares implementadas por YoroTrooper consisten en shells inversos y un keylogger personalizado basado en C que es capaz de grabar pulsaciones de teclas y guardarlas en un archivo en el disco.

"Vale la pena señalar que, si bien esta campaña comenzó con la distribución de malware de productos básicos como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python", dijeron los investigadores.

"Esto destaca un aumento en los esfuerzos que el actor de la amenaza está realizando, probablemente derivados de violaciones exitosas durante el curso de la campaña".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta